kurze Info am Rande:Â Irgend welche Deppen haben gerade eine Brute-Force-Attacke auf eine Seite gefahren, welche auf meinen Server gehostet wird.
die gute Nachricht
Ich hab die IP-Adressen über iptables gesperrt und die PHP-Worker sind wieder zur Ruhe gekommen. Die Antwortzeiten sind wieder besser.
die schlechte Nachricht
Ich musste dafür leider die Log-Files aktivieren. Zwar hilft auch netstat -t -n um sich ein Überblick über den Netzwerkstatus zu verschaffen. Aber man sieht nicht, welche Seite angegriffen wird und vor allem wie!
Und zum anderen:Â Sobald die Deppen mitbekommen haben, dass Ihr Angriff ins Leere geht könnten Sie über andere Server ihre Angriffe weiterführen. Auf dieses Katz und Maus-Spiel habe ich jetzt aber eigentlich keine Lust.
Bevor jetzt jemand fragt:
Wie funktioniert das sperren einer IP mittels iptables
Dazu brauchen wir als erstes die zu sperrende IP-Adresse. Diese bekommen wir am besten aus dem Serverlog.
209.217.76.244 - - [27/Sep/2014:11:18:20 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
95.130.174.51 - - [27/Sep/2014:11:18:20 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:21 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
95.130.174.51 - - [27/Sep/2014:11:18:21 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:21 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
95.130.174.51 - - [27/Sep/2014:11:18:22 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:22 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:23 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
95.130.174.51 - - [27/Sep/2014:11:18:23 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:24 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
damit haben wir jetzt schon mal 2 IP-Adressen welche versuchen sich auf eine WordPress Seite Zugang zu verschaffen: 209.217.76.244 & 95.130.174.51
diese sperren wir jetzt einfach mit:
iptables -A INPUT -s 209.217.76.244 -j DROP
iptables -A INPUT -s 95.130.174.51 -j DROP
Damit verwirft iptables jede Anfrage von diese Adresse (DROP) und der Server muss darauf nicht antworten. Das bringt die Systemlast wieder runter, hilft aber nicht bei massiven Angriffen. Die Anfragen erreichen ja trotzdem den Server und diese könnten unter Umständen die Netzanbindung auslasten.
Pingback: Brute Force Angriffe auf Wordpress abwehren - my GettoWEB.DE